操作系统虚拟仿真取证技术探究.docVIP

操作系统虚拟仿真取证技术探究 　　摘要：该文介绍了一种操作系统虚拟仿真取证的方法，然后具体描述了该方法在计算机取证过程中所采取的具体步骤，提出了对待取证的操作系统磁盘进行虚拟仿真的解决方案并对方案进行了探讨。最后给出了操作系统虚拟仿真取证方法完整的系统设计模型，针对该模型详细地讨论了在一种写保护条件下操作系统虚拟仿真取证系统的设计流程。采用了该文中的操作系统虚拟仿真取证的方法，使用物理磁盘或者磁盘镜像，通过在VMware以只读方式仿真启动操作系统，在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容，以达到不用损坏物理磁盘或者磁盘镜像来取证的目的，操作简单，应用范围广泛 关键词：操作系统；虚拟仿真；取证；技术研究 中图分类号：TP391 文献标识码：A 文章编?：1009-3044（2016）33-0264-03 1 背景 待取证操作系统中的各类数据是重要的证据来源，能较全面的对原始证据进行取证。计算机虚拟技术是通过软件来模拟计算机硬件的技术。目前，物理计算机的计算量、存储量有了非常大的进步。计算机上安装了虚拟机之后可以在一台机器上模拟出多台机器的效果，能完成架设多计算机服务程序、隐蔽网络访问等需求，因此，越来越多的数据以及服务被存储和移植到了虚拟计算机上。随之带来的针对虚拟机的数据恢复与取证需要在虚拟机上对物理磁盘或者磁盘镜像磁盘进行系统仿真取证